Installer l'infrastructure

Anthos en mode privé est une version d'Anthos qui peut s'exécuter dans un environnement isolé totalement coupé d'Internet. Vous pouvez utiliser Anthos en mode privé pour exécuter des charges de travail très réglementées sur site, tout en bénéficiant de nombreux avantages des infrastructures cloud natives.

Introduction

Ce document vous guide tout au long du processus d'installation d'Anthos en mode privé en tant qu'opérateur d'infrastructure en charge de la couche d'infrastructure (machines Bare Metal, la mise en réseau, le stockage et le système d'exploitation). Une expérience préalable de Kubernetes et d'une gestion du système est nécessaire pour ce processus.

L'architecture du mode privé d'Anthos est semblable à l'architecture de la version connectée d'Anthos sur solution Bare Metal : un cluster d'administrateur est utilisé pour créer et gérer les clusters d'utilisateur. Vos charges de travail s'exécutent sur les clusters d'utilisateur. Vous disposez également d'un poste de travail administrateur, qui est une machine unique contenant les outils nécessaires pour installer et gérer votre déploiement d'Anthos en mode privé.

Par rapport à la version connectée d'Anthos sur solution Bare Metal, Anthos en mode privé bénéficie de trois composants supplémentaires :

  • Un registre de conteneurs facultatif qui s'exécute sur le poste de travail administrateur pour stocker toutes les images de conteneur Anthos (nécessaire dans un scénario où vous n'avez pas accès à Container Registry).
  • Un centre de gestion Web d'Anthos en mode privé qui s'exécute sur le cluster d'administrateur Il vous permet de gérer toutes les ressources qui composent le déploiement Anthos, y compris les machines, les pools d'adresses et les clusters d'utilisateurs. Il gère également les fonctionnalités Anthos et donne accès aux outils de surveillance et de visibilité des charges de travail.
  • Outil de ligne de commande actl qui permet d'installer Anthos en mode privé et d'effectuer d'autres tâches d'administration.

Schéma décrivant l'architecture du mode privé d'Anthos

Figure : Architecture du mode privé Anthos.

Après avoir lu ce document, consultez la page Installer le centre de gestion Anthos pour obtenir des informations complètes sur l'installation d'un environnement Anthos en mode privé.

Préparer l'environnement

Prerequisites

Avant de suivre les instructions de ce document, assurez-vous de répondre aux exigences techniques d'Anthos en mode privé.

Accéder à Anthos en mode privé

Nous devons vous donner accès aux versions d'Anthos en mode privé. Veuillez fournir une adresse e-mail pour chaque testeur à votre contact Google pour que nous puissions leur accorder l'accès au dépôt de téléchargement. Ces adresses e-mail doivent être des comptes Google.

Lorsque votre point de contact Google confirme que vous avez accès aux versions d'Anthos en mode privé, vérifiez que vous disposez des autorisations nécessaires pour télécharger les versions d'Anthos en mode privé en exécutant la commande suivante : gsutil ls gs://anthos-private-mode-release/

Si vous rencontrez une erreur, vérifiez que gsutil utilise le même compte Google que celui que vous avez indiqué au point de contact Google en exécutant la commande gcloud auth list.

Vous pouvez également consulter le dernier bucket de versions pour vérifier que vous disposez des autorisations appropriées. Vous devez être connecté avec le compte Google fourni précédemment.

Si vous ne parvenez pas à accéder aux versions d'Anthos en mode privé, contactez votre contact Google pour obtenir de l'aide.

Télécharger Anthos en mode privé

Dans cette section, vous téléchargez une version d'Anthos en mode privé contenue dans plusieurs fichiers pesant chacun plusieurs gigaoctets. Selon votre connexion Internet, le téléchargement peut prendre un certain temps.

Télécharger Anthos en mode privé

Sur votre poste de travail administrateur, exécutez les commandes suivantes :

# Login with the account granted access to Anthos private mode
gcloud auth login

# Download the script which helps download all the latest components
export VERSION=0.9.0-gke.1
gsutil cp gs://anthos-private-mode-release/$VERSION/get-anthos-private-mode.sh .
chmod +x get-anthos-private-mode.sh
./get-anthos-private-mode.sh

# If you are working on a workstation shared with other users,
# we recommend that you revoke your credentials after downloading the release.
gcloud auth revoke [YOUR_EMAIL]

Installer les dépendances restantes

Une fois le téléchargement d'Anthos en mode privé terminé, exécutez les commandes suivantes :

cd anthos-baremetal-private-mode

# Add actl command line tool and bin directory to the PATH
export PATH=$PWD/bin:$PATH

# Download Harbor offline installer
curl -SL \
  https://github.com/goharbor/harbor/releases/download/v2.2.0/harbor-offline-installer-v2.2.0.tgz \
  --output "local-registry/harbor-offline-installer.tgz"

# Install docker-compose
curl -SL \
  https://github.com/docker/compose/releases/download/1.28.5/docker-compose-Linux-x86_64 \
  --output "local-registry/docker-compose"

Seules deux étapes de la procédure nécessitent une connexion Internet. Si vous installez le mode privé d'Anthos dans un environnement entièrement isolé d'Internet, vous pouvez :

  • Commencez par connecter votre poste de travail administrateur à Internet, puis téléchargez la version comme indiqué ci-dessus. Ensuite, déconnectez le poste de travail d'Internet, puis connectez-le à l'environnement isolé.
  • Téléchargez la version à partir d'un poste de travail de développeur connecté à Internet, copiez-la sur un périphérique de stockage portable, puis déplacez ce périphérique de stockage portable vers votre poste de travail d'administrateur isolé.

Vous pouvez explorer le contenu de la version d'Anthos en mode privé :

./anthos-baremetal-private-mode
├── baremetal
   ├── images
   └── package-spec.yaml
├── bin
   ├── actl
   ├── istioctl
   └── nomos
├── bmctl-workspace
   └── admin
       └── admin.yaml
├── local-registry
   ├── cleanup.sh
   ├── docker-compose
   ├── generate-certs.sh
   ├── harbor-offline-installer.tgz
   └── install.sh
├── managementcenter
   ├── images
   └── management-center.yaml
├── services
   ├── anthos-config-management
   ├── anthos-service-mesh
   └── images
├── third_party
└── updatecenter
    └── images
  • Le répertoire local-registry contient les ressources permettant de configurer un registre de conteneurs local.
  • D'autres répertoires tels que managementcenter, services et baremetal contiennent tout ce dont vous avez besoin pour installer le cluster administrateur et le centre de gestion d'Anthos en mode privé.

[Facultatif] Activer la saisie semi-automatique shell actl

actl est compatible avec la saisie semi-automatique de l'interface système pour Bash, Zsh et Fish. Vous pouvez configurer le processus dans votre interface système en suivant les instructions de actl help completion, par exemple dans Ubuntu/Debian, bash:

# One time setup: install bash-completion
sudo apt update && sudo apt install bash-completion

# In ~/.bashrc
source /etc/profile.d/bash_completion.sh
source <(actl completion bash)

Configurer votre registre de conteneurs

Le mode privé d'Anthos fonctionne en stockant les images de conteneurs Anthos dans un registre de conteneurs local. Vous pouvez utiliser votre propre registre de conteneurs existant ou le registre de conteneurs groupés d'Anthos en mode privé.

  1. Exportez les variables d'environnement suivantes :

    export REGISTRY_IP=[YOUR_REGISTRY_IP]
    export REGISTRY_PASSWORD=[YOUR_REGISTRY_PASSWORD]
    
    # By default, a "library" public project is created,
    # and you can also create other private projects via the Harbor portal.
    export PRIVATE_REGISTRY=${REGISTRY_IP}/library
    

    Où :

  2. [YOUR_REGISTRY_IP] est l'adresse IP de votre registre. Si vous souhaitez installer et utiliser le registre de conteneurs d'Anthos en mode privé sur le poste de travail administrateur, utilisez ici l'adresse IP de votre poste de travail administrateur.

  3. [YOUR_REGISTRY_PASSWORD] est le mot de passe de votre registre existant ou un nouveau mot de passe si vous créez un registre de conteneurs.

Si vous décidez d'utiliser votre propre registre de conteneurs, passez à la section Importer des images dans le registre de conteneurs.

Configurer le registre de conteneurs d'Anthos en mode privé

Dans cette section, vous allez configurer un registre de conteneurs privé sur le poste de travail administrateur. Exécutez toutes les commandes ci-dessous à partir du poste de travail administrateur.

  1. Si vous ne disposez pas de votre propre registre de conteneurs privé, installez le registre de conteneurs d'Anthos en mode privé.

    cd ~/anthos-baremetal-private-mode
    
    # Move it to a path under $PATH
    chmod a+x local-registry/docker-compose
    sudo cp local-registry/docker-compose /usr/bin
    
    # Install local registry
    ./local-registry/install.sh
    

Remarques :

  • Le registre de conteneurs en mode privé d'Anthos n'est utilisé que pour l'installation du mode privé d'Anthos. Il n'est pas encore prêt pour une utilisation en production.
  • Le projet de registre public par défaut est library. Il peut être utilisé par défaut. Cependant, vous pouvez vous connecter au registre et créer un projet si vous le souhaitez.
  • Le registre de conteneurs est disponible à l'adresse https://${REGISTRY_IP}/. Les identifiants de connexion sont les noms d'utilisateur admin et ${REGISTRY_PASSWORD} pour le mot de passe.
  • Les identifiants sont stockés de manière non chiffrée dans /home/<USER>/.docker/config.json.

Connectez-vous au registre pour vérifier que vous y avez accès. Si vous recevez une erreur, vous devrez peut-être attendre quelques secondes.

docker login ${REGISTRY_IP} -u admin -p ${REGISTRY_PASSWORD}

Importer des images dans le registre de conteneurs

Dans cette section, vous allez importer les images du conteneur d'Anthos en mode privé dans votre registre de conteneurs.

  1. Préparez et importez les images du conteneur d'Anthos en mode privé dans votre registre de conteneurs. Si vous y êtes invité, sélectionnez l'option Use that credential.

    actl images push --private-registry=${PRIVATE_REGISTRY} \
        --images ~/anthos-baremetal-private-mode